授予專案存取權

藉由指派角色,授予和控制 Google Cloud Platform 專案及其資源的存取權。您可以指派角色給專案成員和服務帳戶。

服務帳戶代表 Google Cloud 服務身分 (例如 App Engine),可用來存取其他服務。

選擇適合的存取權控管

指派角色給專案成員和服務帳戶,藉此定義 GCP 專案的存取權等級。您可以運用身分與存取權管理 (IAM) 角色,進行更精細的存取權控管。如要進一步瞭解各種 App Engine 角色,請參閱存取權控管一文。

一般而言,「擁有者」、「編輯者」、「檢視者」等原始角色的用法較為簡單,而預先定義的角色具有更精細的存取權選項。如果您只是在試用 App Engine,則控管存取權最簡單的方式就是將「編輯者」角色授予專案的所有相關人員。操作方式請參閱下方設定權限中的操作說明。請注意,只有「擁有者」才能在專案中建立 App Engine 應用程式,以及將其他人員新增至專案。

如果您的專案已針對更複雜的角色做好了準備:

  1. 識別需要存取專案的各種不同工作職務。

  2. 針對每項工作職務,個別設定 Google 群組

  3. 視需要將成員新增至各個 Google 群組。

  4. 按照下方設定權限中的操作說明,將每個 Google 群組新增為專案成員,並為每個群組設定角色。

設定權限

如要新增專案成員及設定權限:

  1. 請在 Google Cloud Platform 主控台,造訪專案的「IAM 與管理員權限」頁面。

    前往「IAM 與管理員權限」頁面

  2. 按一下 [新增成員] 將新成員新增至專案,並使用下拉式選單設定這些成員的角色。您可以新增個別的使用者電子郵件地址;或者,如果您使用 Google 群組管理群組角色,則可提供 Google 群組電子郵件地址 (example-google-group@googlegroups.com)。

    新增群組

  3. 指派角色。

如要查看所有 App Engine 角色的說明和比較表,以及瞭解限制的相關資訊,請前往存取權控管

下拉式選單還提供適用於其他 Google Cloud Platform 產品的角色。如要進一步瞭解這些角色,請參閱預先定義的角色一文。

使用身分與存取權管理角色部署

您可以透過指派適當的身分與存取權管理角色至使用者帳戶,授予 GCP 專案部署新版應用程式的權限。

建議指派 App Engine 部署者角色給僅負責部署應用程式的使用者帳戶。App Engine 管理員角色也可以部署應用程式,但還具備其他權限。視必須部署的設定檔而定,您也可能需要依照下方步驟,將其他角色授予帳戶。

設定流量

根據預設,具有 App Engine 部署者角色的使用者帳戶,不能將流量遷移或拆分至任一版的應用程式。不過,如果部署作業鎖定目前提供流量的現有版本,則該應用程式的更新版本會保留遭覆寫版本的原始流量設定。

舉例來說,如果 20201155example 版目前在您的應用程式中提供流量,則當您執行 gcloud app deploy --version 20201155example 指令時,更新版本會先覆寫現有版本,然後才開始提供流量。

如果使用者帳戶負責設定流量,請考慮使用 App Engine 管理員或 App Engine 服務管理員角色

事前準備

使用者帳戶要以身分與存取權管理角色部署應用程式之前,必須先完成以下動作:

如要授予使用者帳戶部署至 App Engine 的權限:

  1. 請在 Google Cloud Platform 主控台,造訪專案的「IAM 與管理員權限」頁面。

    前往「權限」頁面

  2. 按一下 [新增成員] 將使用者帳戶新增至專案,然後使用下拉式選單為該帳戶選取所有角色:

    • 可讓帳戶部署至 App Engine 的必要角色:
      1. 設定下列其中一個角色:
        • 使用 [App Engine] > [App Engine 部署者] 角色,授予帳戶部署任一版應用程式的權限。
        • 如要隨著應用程式一併部署 dos.yamldispatch.yaml 檔案,請改用 [App Engine] > [App Engine 管理員] 角色。
        使用者帳戶現在具有充分權限,可使用 Admin API 部署應用程式
      2. 如要允許使用 App Engine 工具部署應用程式,您也必須將 [Storage] > [Storage 管理員] 角色指派給使用者帳戶,這樣工具才會具有上傳至 Cloud Storage 的權限。
    • 選用。將下列角色指派給使用者帳戶,授予上傳其他設定檔的權限:
      • [Datastore] > [Datastore 索引管理員] 角色:上傳 index.yaml 檔案的權限。
      • [Cloud Scheduler] > [Cloud Scheduler 管理員] 角色:上傳 cron.yaml 檔案的權限。
      • [Cloud 工作] > [Cloud 工作佇列管理員] 角色:上傳 queue.yaml 檔案的權限。

使用者帳戶現在可以在相關聯的 GCP 專案中,將應用程式部署至 App Engine 應用程式。如要進一步瞭解如何部署應用程式,請參閱部署應用程式一文。

如果您按照上述的操作說明設定權限,但帳戶仍然無法部署應用程式,請確認 App Engine 應用程式是否已經建立。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Go 適用的 App Engine 標準環境